大开个资后门? 近八成中央机关未评估国外个资保护
▲时代力量立委林昶佐召开「政府未把关,民众个资安全何在」记者会。(图/林昶佐国会办公室提供)
时代力量立委林昶佐17日召开记者会指出,依法目前国内的公司要将其业务上所持有的个资传输到其他国家时,若该国对于个资保护不周,中央目的事业主管机关可以禁止。不过,竟有将近8成以上的中央政府机关,却未评估过国外对于个资保护的程度,让《个资保护法》形同具文。
林昶佐指出,根据《个资保护法》第21条规定,国内的非公务机关若要将其业务持有的个人资料传输到国外,「接受国对于个人资料之保护未有完善之法规,致有损当事人权益之虞」,中央目的事业主管机关得限制之。主因每个国家对于个资的保护程度皆不同,如果将个人资料传输到保护不佳的国家,产生损害民众权利的情况,跨国主张权利较为困难,对于民众反而更为不利。
经林昶佐调查指出,目前对于世界各国个资保护的评估,仅有国家通讯传播委员会曾在2012年公告「限制通讯传播事业经营者将所属用户之个人资料传递至大陆地区」。他批评,包含经济部在内的14个部会,对于各国的个资保护情况,完全没有任何评估,既然没有评估又如何知道是否有「有损当事人权益之虞」?
林昶佐表示,如果没有完整的个资保护评估,等于是大开个资后门。他说,欧盟去年最新立法通过的「一般资料保护规范(GDPR)」,采取的是必须符合特定条件才可以国际传输,目前国内只有金管会对于金融机构所搜集的个人资料,如要委托至境外处理,需事前得到金管会核准。
时代力量台北市议会党团科技长萧新晟表示,有些网路服务可能原本云端建置在国外,尤其现在两岸科技产业交流频繁,是不是有业者为了方便,将云端资料就设在中国,但民众事前完全不知情。他建议,应修法强制揭露个资的储存国别或地区于网站及产品或服务之使用说明,才符合公开透明的原则。
国发会个人资料保护办公室参事李世德则说,目前的确只有NCC有依据个资法第21条限制国际传输。之后会依照委员的意见,针对台湾经常交流往来的国家,今年会先针对包括日本、韩国等,搜集与研究相关个资保护的规定。同时,国发会也会在今年与各部会的个资教育训练中,针对委员提到的问题,与各个部会分享资讯。
林昶佐也要求,国发会短期内应邀集各个目的事业主管机关,针对包含中国在内的重点国家,评估个资的保护程度并定期更新,作为准许国际传输与否的依据。他目前也已在参考欧盟的立法经验研拟修正个人资料保护法,加强保障国际传输,同时强制揭露云端资料库的储存国别或地区。